クラウドが「当たり前」の今、改めて企業が知っておきたいクラウドセキュリティ(前編) 国内におけるクラウドサービスセキュリティ認証とは?

ISO/IEC 27017とISO/IEC 27017を活用したセキュリティ認証

 このISO/IEC 27017を活用する形で、様々なセキュリティ認証の仕組みが提供され始めている。特定非営利法人日本セキュリティ監査協会(JASA)が提供するCSマーク、一般財団法人日本情報経済社会推進協会(JIPDEC)が提供するISMSクラウドセキュリティ認証などだ。

ISO/IEC 27017(JIS Q 27017)

 ISO/IEC 27017 - Code of practice for information security controls based on ISO/IEC 27002 for cloud services(ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範)は、クラウドサービスの提供と利用における情報セキュリティ管理策のベストプラクティスをまとめたものだ。

図1:ISO/IEC 27017策定までの流れ 図1:ISO/IEC 27017策定までの流れ
※クリックすると拡大画像が見られます

 本書の目的は、クラウドサービス利用における提供者(Cloud Service Provider:CSP)と利用者(Cloud Service Customer:CSC)の責任を明確にすることだ。クラウドサービスを安全に利用するためには、まずはそれぞれの責任とお互いが協力出来るポイントを明確にし、コミュニケーションを十分に取り、ネットワークの向こう側にあるITサービスの状態を把握することで、セキュリティを確保することが出来るという考えに基づいている。

 クラウドサービスでのセキュリティの懸念事項の多くは、データやシステムの状態が適切に把握できないというものであった。これを払拭するためのソリューションとしてISO/IEC 27017は提供されている。

 ISO/IEC 27017はベストプラクティスなので、これを活用した認証というのは本来行われないが、産業や業態の分野別(Sector specific)の認証を行うための国際標準としてISO/IEC 27009 - Sector-specific application of ISO/IEC 27001が発行されたことにより、ISO/IEC 27001の認証に加えて、ISO/IEC 27017の範囲を認証するための仕組みが提供されるようになった。

日本セキュリティ監査協会(JASA)が提供している「CSマーク」

 日本セキュリティ監査協会(JASA)では、クラウドセキュリティ推進協議会を設置し、経産省のクラウドセキュリティガイドラインに基づく情報セキュリティ監査の推進を行ってきた。

 CSマーク(クラウドセキュリティマーク)とは、公正かつ公平な情報セキュリティ監査がクラウドコンピューティングサービスにおいて実施され、クラウドコンピューティングサービスにとって、有益なものとして情報セキュリティ監査が機能し、公益の増進に寄与するために、品質が保たれた情報セキュリティ監査を実施したクラウドコンピューティングサービスを標章する制度だ。

図2: CSマークとは 図2: CSマークとは
※クリックすると拡大画像が見られます

 CSマークは2種類あり、外部監査を終えた事業者についてはCSマーク ゴールドを、内部監査のみを終えた事業者についてはCSマーク シルバーが提供される。

 CSマークは監査を通じて提供されるため、CSPの取組についての明確なエビデンスがあることを示しており、具体的な活動を実施していることを利用者が知ることが出来る。

 CSマーク ゴールドとシルバーではどちらがセキュリティの強度が高いかを示すものではなく、クラウドサービスにおけるセキュリティに関する取組についての保証レベルについて言及するものだ。つまり、外部監査を受けていることにより、より信頼性が高いということが示されているということである。

JIPDECが提供している「ISMSクラウドセキュリティ認証」

 JIPDECでは、かねてよりJIS Q 27001:2014を認証基準とした情報セキュリティの認証制度を運用してきた。国際的に信頼の得られる情報セキュリティ管理を行っていることを評価する制度であり、多くの国内企業が認証を受けている。

 ISO/IEC 27009および、ISO/IEC 27017が発行されたことを受けて、ISMS認証を前提として、ISO/IEC 27017のガイドラインに沿ったクラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みとして提供されることになった。

図3: ISMSクラウドセキュリティ認証 図3: ISMSクラウドセキュリティ認証
※クリックすると拡大画像が見られます

 本認証はCSPCSCの両方が対象となる認証だ。CSマークとの違いは利用者も認証を受けることが出来ることで、クラウドサービスを利用している利用者が安全利用をしていることを示すためにも活用されるという点だ。

 例えば、ECサイトをクラウドを利用して構築しているようなネット販売事業者や、クラウドの開発環境を利用してITサービスの開発を行っている開発事業者などが、顧客や取引先に対して安全利用を標章するために活用することが可能である。

クラウドサービスの安全性

 クラウドサービスは新しい技術を採用したITサービスで、具体的な対象を見ることが難しい仮想化などを使っていることから、安全であることが確認しにくいと言われてきた。しかし、紹介したようなガイドライン、国際標準、それを活用した認証が提供されることによって、利用者が納得出来る安全な環境を構築出来るようになってきている。

 ニフティでは、サービス開始当初から現在までクラウドセキュリティガイドライン策定やガイドラインの国際標準化に積極的に参画・協力してきた。これらの取組を行ってきた理由は、クラウドに特化した専門性の高いセキュリティ対策をいち早く自社サービスに取り入れるのはもちろん、業界全体の取組としてクラウドを安心して利用出来る環境をユーザーに提供するためである。

 ニフティでは、ユーザーのクラウドサービス選定および利用時のセキュリティ対策実装のための補助的な情報として、「セキュリティホワイトペーパー」の提供を行っている。もちろん、経済産業省のクラウドセキュリティガイドラインを踏まえて作成されているものであり、クラウドを利用したシステム構築に必要なセキュリティ項目をユーザー自身が確認しやすく、他社との比較検討を容易に行えるようになっている。

 ニフティクラウドにおいて実施されているセキュリティ対策や、第三者認証だけでなく、ユーザーが利用出来るセキュリティ関連機能についても紹介している。クラウドのセキュリティに関してはその特性上、クラウドサービス提供者のセキュリティ対策だけでなく、ユーザーがどのようなセキュリティ対策を実施出来るか、という二つの観点で考えなければならないことを理解する必要があるが、その点についても初心者に判りやすく解説されているのが特徴だ。

 後編ではクラウドサービスの求められるセキュリティについてより詳しく掘り下げる。

提供:ニフティ株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2016年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]